АТАКИ НА БАНКИ

2018

СОДЕРЖАНИЕ

Введение .................................................................................................................................................................3

Как грабят банки сегодня ...........................................................................................................................4

Примеры хищений ........................................................................................................................4

Группировки ......................................................................................................................................5

Типовая схема атаки .....................................................................................................................5

Результаты тестов на проникновение ............................................................................................ 11

Уязвимости сетевого периметра ...................................................................................... 11

Уязвимости внутренней сети .............................................................................................. 13

Заключение ........................................................................................................................................................ 17

АТАКИ НА БАНКИ

2

ВВЕДЕНИЕВ последние несколько лет в СМИ регулярно появляются заголовки о новых ограблениях банков. Фигурирующие в них названия преступных группировок обычно известны каждому специалисту по безопасности, а на счету некоторых из этих преступников целый ряд многомиллионных краж. Высокие гонорары и относительно низкий на сегодняшний день риск обнаружения способству-ют активному развитию киберпреступности: несмотря на то, что отдельные группировки прекращают свою деятельность, а их участники задерживаются правоохранительными органами, на их место приходят другие, использующие более совершенные техники атак.

Преступники быстро адаптируются к меняющейся среде, неустанно следят за публикациями о новых уязвимостях и успевают эксплуатировать их гораздо быстрее, чем службы безопасности банков установят соответствующие обнов-ления. На подпольных форумах в интернете любой желающий может свободно приобрести ПО для проведения атаки с подробными инструкциями по его ис-пользованию, заручиться поддержкой недобросовестных сотрудников банков и преступных сообществ, специализирующихся на отмывании незаконно по-лученных денег. Складывается ситуация, при которой злоумышленник, облада-ющий минимальными техническими знаниями, может похитить миллионы дол-ларов, проникнув в сеть банка, которая, казалось бы, должна иметь высокий уровень защиты.

Как на самом деле обстоит ситуация с информационной безопасностью в бан-ковской отрасли? Как хакерам удается обойти существующие системы защиты, какие недостатки в механизмах безопасности позволяют им прочно закре-питься в инфраструктуре банка и проводить мошеннические операции, до по-следнего момента оставаясь незамеченными службой безопасности?

В этом отчете, основанном на результатах работ по анализу защищенности ин-формационных систем отдельных банков за последние три года, мы постара-емся ответить на эти вопросы. Сделанные выводы могут не отражать актуаль-ное состояние защищенности информационных систем в других организациях. Данное исследование проведено с целью обратить внимание специалистов по ИБ отрасли на наиболее актуальные проблемы и помочь им своевременно выявить и устранить уязвимости. В первую очередь рассмотрим примеры атак и известных группировок, которые были активны в последние три года, и со-ставим типовую схему атаки на банковскую инфраструктуру. Затем приведем результаты, полученные нашими экспертами в ходе работ по тестированию на проникновение, и покажем, какие уязвимости распространены сегодня в бан-ках и какие из них приводят к успешной реализации атак. В заключение оце-ним, с учетом выявленных уязвимостей, сколько банков сегодня могут стать жертвами преступников.

АТАКИ НА БАНКИ

3

КАК ГРАБЯТ БАНКИ СЕГОДНЯПо оценкам Сбербанка, ежегодные убытки от кибератак в России уже состав-ляют около 600 миллиардов рублей, а во всем мире эта сумма приближается к триллиону долларов США.

Мы наблюдаем атаки на системы межбанковских переводов, карточный про-цессинг, управление банкоматами, интернет-банкинг, платежные шлюзы. Выбор целей достаточно широк: при наличии должных знаний и технических средств доступ к таким системам может принести злоумышленникам более весомое вознаграждение, чем мошенничество в отношении клиентов банка. Для хище-ния денежных средств преступникам требуется проникнуть в инфраструктуру банка, безопасность которой обязана находиться на высоком уровне, но, как мы видим, преступникам удается обходить все механизмы защиты, а в СМИ продолжают появляться публикации о новых кибератаках и новых хищениях из банков.

Примеры хищений

Сто миллионов долларовВолна атак на карточный процессинг прошла в начале 2017 года в ряде стран Восточной Европы. Проникнув в инфраструктуру банка, преступники получа-ли доступ к системам карточного процессинга и увеличивали лимит овердраф-та карт, а также отключали системы антифрода, которые могли бы оповестить банк о мошеннических операциях. В ту же минуту их сообщники снимали наличные средства из банкоматов в другой стране. (Дропы, ответственные за непосредственное снятие наличных, заранее приобретали карты по под-дельным документам и выезжали за пределы страны, в которой находился банк-жертва.) Средняя сумма хищения в каждом случае составила около 5 млн долл. США. Двумя годами ранее схожую тактику применила группировка Metel. Пробравшись в инфраструктуру банка, преступники получили возможность отменять операции по картам и возвращать первоначальный баланс, в то вре-мя как их сообщники переходили от одного банкомата к другому, похищая мил-лионы рублей.

Шестьдесят миллионов долларовОсенью 2017 года злоумышленники атаковали банк Тайваня, совершив перево-ды на счета в Камбодже, Шри-Ланке и США.

Четыре миллиона долларовПока работа банков в Непале была приостановлена на время праздников, пре-ступники осуществили вывод денег через систему межбанковских переводов SWIFT. Банкам удалось отследить транзакции и вернуть значительную часть по-хищенных средств лишь благодаря своевременному реагированию.

Полтора миллиона долларовВ начале декабря в публичных источниках появилась информация о груп-пировке MoneyTaker, которая проводила атаки на финансовые организации России и США в течение полутора лет. Преступники атаковали системы карточ-ного процессинга и межбанковских переводов, средняя сумма хищения в США составила 500 тыс. долл., а в России — 72 млн руб.

Сто тысяч долларовВ декабре 2017 года появилась информация о первой успешной атаке на си-стему SWIFT в российском банке. Жертвой хакеров оказался банк «Глобэкс» (дочерняя компания Внешэкономбанка). В преступлении подозревается хакер-ская группировка Cobalt, специализирующаяся на кибератаках на банки.

АТАКИ НА БАНКИ

4

Группировки

Если рассматривать преступные группировки, которые были активны в по-следние три года, то наиболее заметна была деятельность группировок Cobalt (предположительно связаны с Buhtrap), Carbanak, Lazarus и Lurk.

Группировка Cobalt известна своими атаками на финансовые организации СНГ, Восточной Европы и Юго-Восточной Азии, но в 2017 году список регионов зна-чительно расширился: были зафиксированы атаки в странах Западной Европы, Северной и Южной Америки. Большую часть атакованных финансовых орга-низаций составляют банки, тем не менее в их число также входят фондовые биржи, инвестиционные фонды и другие специализированные кредитно-фи-нансовые организации. В банках целью злоумышленников является доступ к управлению банкоматами: отправляя в установленное время команды на вы-дачу наличных средств, преступники забирают из банкомата все содержимое без физического вмешательства в работу устройства. По оценкам ЦБ, в 2017 году российские банки потеряли более 1,1 млрд рублей в результате действий группировки Cobalt.

Не меньшую известность получила и группировка Lazarus, которой приписы-вают одно из самых громких ограблений банка через систему SWIFT. В 2016 году злоумышленники попытались вывести миллиард долларов из централь-ного банка Бангладеш, но из-за ошибки в платежном документе смогли похи-тить только 81 млн.

О группировке Carbanak СМИ заговорили после серии хищений в 2014–2015 годах. Отличительной чертой злоумышленников являлась широкая специали-зация: им удавалось похищать деньги из любых систем, к которым был полу-чен доступ, эксплуатируя при этом исключительно недостатки защищенности корпоративных сетей. Общая сумма украденных средств превышает миллиард долларов.

Специалистам по информационной безопасности хорошо знаком и троян Lurk, который на протяжении нескольких лет использовался для атак на системы ДБО. Члены преступной группировки были арестованы в 2016 году. Считается, что в общей сложности хакеры вывели из банков более 3 миллиардов рублей.

Типовая схема атаки

Выбор цели злоумышленника во многом обусловлен технической подготов-кой, имеющимися инструментами и знаниями о внутренних процессах банка, которыми располагают преступники. Каждая из атак имеет свои особенности, в частности действия преступников различаются на этапе вывода денежных средств, но присутствуют и общие черты, которые мы постарались отметить в данном разделе. Злоумышленники действуют по довольно простым сценари-ям, состоящим из 5 основных этапов, представленных на схеме ниже.

Компрометация банковскихсистем и хищение средств

Сокрытиеследов

Проникновениево внутреннюю сеть

Закрепление во внутреннейсети и развитие атаки

Предварительная разведка и подготовительные работы

Основные этапы атаки

АТАКИ НА БАНКИ

5

Этап 1. Разведка и подготовка

Первый этап достаточно длительный и трудоемкий: перед злоумышленниками стоит задача собрать как можно больше информации о банке, которая поможет преодолеть системы защиты, и провести предварительную организационную работу, учитывая специфику атакуемого банка. Поскольку сканирование внеш-них ресурсов может быть выявлено системами защиты, для того, чтобы не рас-крыть себя на начальном этапе, преступники прибегают к пассивным методам получения информации, например для выявления доменных имен и адресов, принадлежащих банку. Для разведки также активно привлекаются недобросо-вестные сотрудники банков, готовые за вознаграждение поделиться информа-цией: множество объявлений об этом легко найти на соответствующих фору-мах в интернете.

Злоумышленник собирает информацию о банке:

+ сведения о системах на сетевом периметре и используемом ПО;+ о сотрудниках (электронные адреса, телефоны, должности, ФИО и т. п.);+ партнерах и контрагентах, их системах и сотрудниках;+ бизнес-процессах.

Примеры подготовительных действий:

+ разработка или адаптация ВПО для используемых в банке версий ПО и ОС;+ подготовка фишинговых писем;+ организация инфраструктуры (регистрация доменов, аренда серверов, по-

купка эксплойтов и т. п.);+ подготовка инфраструктуры для отмывания денег и их обналичивания;+ поиск дропов для обналичивания денег;+ тестирование инфраструктуры и ВПО.

Поиск сообщников на тематических форумах

АТАКИ НА БАНКИ

6

При построении инфраструктуры и подготовке инструментов для атаки злоу-мышленники могут как использовать собственные знания (разрабатывать экс-плойты внутри группировки), так и нанимать для этого сторонних исполните-лей; кроме того, они могут покупать уже готовые инструменты и адаптировать их к конкретным задачам. Если не планируется выводить деньги через банко-маты, то для крупных операций понадобятся связи с преступными сообщества-ми для отмывания средств.

Этап 2. Проникновение во внутреннюю сеть

После всестороннего изучения жертвы и подготовки к атаке злоумышленники переходят в наступление.

Крупные и средние банки сегодня уделяют достаточно много внимания защи-те своего сетевого периметра, поэтому организовать атаку на серверы или веб-приложения не только сложно, но и рискованно, поскольку велика веро-ятность обнаружить себя. Наиболее распространенным и эффективным мето-дом проникновения в инфраструктуру банка является фишинговая рассылка электронных писем в адрес сотрудников банка, которая осуществляется как на рабочие адреса, так и на личные. Такой метод используется, например, группи-ровкой Cobalt, также его применяли Lazarus, Metel, GCMAN.

Другой вариант первичного распространения вредоносного ПО — взлом сто-ронних компаний, которые не столь серьезно относятся к защите своих ресур-сов, и заражение сайтов, часто посещаемых сотрудниками целевого банка, как мы видели это в случае Lazarus и Lurk.

Разработка или адаптация ВПОПодготовка фишинговых писемОрганизация инфраструктурыТестирование инфраструктуры и ВПО

Сведения о сервисах на сетевом периметре и используемом ПОСведения о сотрудниках банкаСведения о партнерах и контрагентахбанка, их системах и сотрудникахСведения о бизнес-процессах в банке

Предварительнаяразведка и подготовка

Подготовка к обналичиванию средств

Подготовкаинструментовдля проведения атаки

Сбор информациио банке

Подготовка инфраструктуры для отмывания денег и их обналичиванияПоиск дропов

Этап 1. Разведка и подготовка

Фишинговое письмо, отправленное группировкой Cobalt

АТАКИ НА БАНКИ

7

Использование ресурсов сторонней компании в качестве

источника заражения

Эксплуатация уязвимостейсетевого периметра

Рассылкафишинговых

писем

Внешний нарушитель

Узел локальной сети

Доступк локальной сети

Этап 2. Проникновение во внутреннюю сеть

Этап 3. Развитие атаки и закрепление в сети

После того, как преступники получают доступ к локальной сети банка, им не-обходимо получить привилегии локального администратора на компьютерах сотрудников и серверах — для дальнейшего развития атаки. Успешность атак обусловлена недостаточным уровнем защищенности систем от внутреннего нарушителя. Можно выделить распространенные уязвимости:

+ использование устаревших версий ПО и отсутствие актуальных обновлений безопасности для ОС;

+ множественные ошибки конфигурации (в том числе избыточные привилегии пользователей и ПО, а также установку паролей локальных администраторов через групповые политики);

+ использование словарных паролей привилегированными пользователями;+ отсутствие двухфакторной аутентификации для доступа к критически важ-

ным системам.

После получения максимальных привилегий в ОС на узле преступники полу-чают из памяти ОС учетные данные всех пользователей, подключавшихся к ней (идентификаторы, пароли или хеш-суммы паролей). Эти данные используются для подключения к другим компьютерам в сети.

Перемещение между узлами обычно осуществляется посредством легитимно-го ПО и встроенных функций ОС (например, PsExec или RAdmin), то есть с по-мощью тех средств, которыми ежедневно пользуются администраторы и ко-торые не должны вызвать подозрений. Группировка Cobalt прибегала также к фишинговым рассылкам внутри банка, отправляя письма от имени реальных сотрудников с их рабочих станций.

Привилегии локального администратора используются по уже классической схеме, когда злоумышленник копирует память процесса lsass.exe и использует его для извлечения паролей пользователей ОС (или их хеш-сумм) с помощью утилиты mimikatz. Подобные действия не детектируются антивирусными сред-ствами, так как для копирования памяти используются легитимные инстру-менты, например procdump, а сама утилита mimikatz запускается на ноутбуке злоумышленника. Кроме того, злоумышленники могут использовать Responder для атак на служебные протоколы с целью перехвата учетных данных. Более подробно такие методы распространения в сети описаны в нашем отдельном исследовании.

АТАКИ НА БАНКИ

8

Если злоумышленникам удастся получить привилегии администратора домена, они смогут в дальнейшем беспрепятственно перемещаться по сети, контро-лировать компьютеры сотрудников, серверы и службы инфраструктуры бан-ка. Обладая таким уровнем привилегий, получить доступ к бизнес-системам организации и специализированному банковскому ПО становится очень про-сто, для этого достаточно определить рабочие станции сотрудников, которые таким доступом обладают, и подключиться к ним. Используя технику golden ticket, злоумышленники могут надежно закрепиться в корпоративной системе на длительное время.

Чтобы скрыть свое присутствие, злоумышленники часто используют бестеле-сный вредоносный код, который выполняется только в оперативной памяти, а для сохранения канала удаленного управления после перезагрузки компью-тера добавляют ВПО в автозагрузку ОС.

Этап 4. Компрометация банковских систем и хищение денег

Закрепившись в сети, преступники должны понять, на каких узлах находят-ся искомые банковские системы и как будет удобнее получить к ним доступ. Преступники исследуют рабочие станции пользователей в поисках файлов, указывающих на то, что с данной рабочей станции осуществляется работа

Нарушитель с привилегиямипользователя на локальном узле

СУБД

Служебныепротоколы

Рабочие станции

Веб-приложения

СерверыУзел локальной сети

Групповыеполитики

Привилегии локальныхадминистраторов

Повышение привилегийИзвлечение учетныхданных из памяти ОС

Привилегии пользователей домена Привилегии локальных

администраторов

Перехват учетных данных, передаваемыхпо сети

Доступ к групповымполитикам

Полный доступ к узламлокальной сети

Подбор учетных данных

Использованиеуязвимостей ресурсовлокальной сети

Рабочие станциии серверы

Контроллердомена

Учетные данныеадминистратора домена

Привилегии пользователей домена Привилегии локальных администраторов

Извлечение учетныхданных из памяти ОС

Извлечение учетных данныхПолный доступк узлам локальной сети

Полный доступ

Подключение к другим узлам сети и извлечение учетных данных из памяти ОС

Этап 3. Развитие атаки и закрепление в сети

АТАКИ НА БАНКИ

9

с банковскими приложениями. Для хранения паролей к критически важным системам в корпоративных сетях обычно используется специальное ПО. Нарушитель с привилегиями локального администратора ОС может скопи-ровать дамп памяти этого процесса, извлечь пароли для доступа к приложе-нию или зашифрованным базам, а затем получить в открытом виде пароли для доступа ко всем критически важным системам банка — АБС, SWIFT, рабочим станциям для управления банкоматами и др. Такой сценарий атаки весьма эф-фективен и неоднократно применялся в ходе тестирования на проникновение. Дополнительную помощь преступникам могут оказать ресурсы, которые со-держат информацию об инфраструктуре, например системы мониторинга, ко-торые используют в своей работе администраторы, или ресурсы технической поддержки пользователей. Используя полученные данные, нарушители будут более уверенно ориентироваться в структуре внутренней сети и смогут учесть особенности бизнес-процессов банка при проведении атаки, чтобы не вызвать подозрений у службы безопасности и срабатывания систем выявления атак.

Нарушитель с привилегиямиадминистратора домена

Доступ к ресурсам локальной сети

Поиск и анализ информации

Ресурсы, содержащиеинформацию о сети

СерверыРабочиестанции

Доступ к сохраненным

и активным сессиям

Типовые действиясотрудников

Банковское ПО

Хищение средств

Учетныеданные

Информацияоб инфраструктуре

Доступ к целевым системам

Документацияпо работе

с банковским ПО

Этап 4. Компрометация банковских систем и хищение денег

АТАКИ НА БАНКИ

10

Преступники могут находиться в инфраструктуре банка долго, оставаясь неза-меченными, собирать информацию об инфраструктуре и процессах, не спеша изучать выбранные для проведения атак системы и наблюдать за действиями сотрудников. Это означает, что кражу денег можно предотвратить, если вовре-мя выявить факт компрометации, даже в том случае, когда преступники уже проникли и закрепились в сети банка.

Основными способами хищений являются:

+ перевод средств на подставные счета через системы межбанковских платежей;+ перевод денежных средств на криптовалютные кошельки;+ управление банковскими картами и счетами;+ управление выдачей наличных средств в банкоматах.

Этап 5. Сокрытие следов

С целью затруднить расследование инцидента преступники принимают меры для уничтожения следов пребывания в системе. Несмотря на то, что злоумыш-ленники переключаются на использование скриптов, выполняющихся в опера-тивной памяти, в системе остаются признаки их присутствия: записи в журна-лах событий, изменения в реестре и другие зацепки. Поэтому неудивительно, что некоторые нарушители предпочитают обезопасить себя насколько это воз-можно и не просто удаляют отдельные следы, а полностью выводят из строя узлы сети, стирая загрузочные записи и таблицы разделов жестких дисков. Волна атак вирусов-шифровальщиков, с которой мир столкнулся в 2017 году, была превосходным примером того, как легко могут быть уничтожены данные крупной компании, и теперь арсеналы хакеров пополняются модификациями вирусов, которые распространяются по рабочим станциям сети и шифруют содержимое жестких дисков. Поскольку восстановить зашифрованные дан-ные в большинстве случаев не представляется возможным, банк несет ущерб, вызванный вынужденным простоем бизнес-процессов, который может ока-заться гораздо значительнее ущерба непосредственно от хищения денежных средств. Так как к заключительному моменту атаки преступники с высокой до-лей вероятности обладают максимальными привилегиями в системе и доско-нально изучили ее, остановить их действия на этом этапе уже вряд ли удастся.

РЕЗУЛЬТАТЫ ТЕСТОВ НА ПРОНИКНОВЕНИЕМы рассмотрели, как на сегодняшний день злоумышленники атакуют банки. В этом разделе мы расскажем, с какими уязвимостями сталкиваемся на практи-ке при проведении тестов на проникновение, и разберем, насколько вероятны описанные выше атаки.

Тестирование на проникновение проводится для оценки реального уровня за-щищенности организации, при этом моделируются действия потенциального нарушителя. В зависимости от исходного уровня привилегий нарушителя раз-личают внешнее тестирование, в рамках которого проверяется возможность преодоления сетевого периметра, и внутреннее, целью которого является получение полного контроля над инфраструктурой или доступ к критически важным системам. Ежегодно мы проводим десятки работ по тестированию на проникновение в различных организациях. Для этого исследования мы выбра-ли 12 наиболее информативных проектов, выполненных нами в банках за по-следние три года, в ходе которых накладывались минимальные ограничения на действия экспертов.

Уязвимости сетевого периметра

Основные уязвимости и недостатки механизмов защиты, которые распростра-нены на сетевом периметре банков, можно разделить на четыре категории: уяз-вимости веб-приложений, недостаточная сетевая безопасность, недостатки кон-фигурации серверов и недостатки управления учетными записями и паролями.

В 100% банков выявлены:+ уязвимости

веб-приложений,+ недостатки сетевой

безопасности,+ недостатки конфигурации

серверов.

В 58% банков выявлены недостатки управления учетными записями и паролями

АТАКИ НА БАНКИ

11

Следует учитывать, что наличие уязвимостей на периметре системы еще не оз-начает, что их эксплуатация позволит проникнуть во внутреннюю сеть. В целом уровень защиты сетевого периметра в банковской сфере значительно выше, чем в остальных компаниях. За три года в рамках внешнего тестирования на проникновение доступ ко внутренней сети был получен в 58% систем, а для банков этот показатель составил лишь 22%. Во всех случаях получению досту-па способствовали уязвимости в веб-приложениях, причем злоумышленнику потребовался бы всего один шаг для достижения цели. В одном банке было выявлено два вектора проникновения, причем оба заключались в эксплуата-ции уязвимостей веб-приложения и недостатков конфигурации веб-сервера.

Следовательно, преступные группировки, планирующие проникнуть во вну-треннюю сеть банка путем эксплуатации уязвимостей на сетевом периметре, смогли бы достичь цели в 22% банков. Подобные способы проникновения ис-пользовали в своей деятельности, например, группировки ATMitch и Lazarus.

Указанный процент может быть несколько выше. В рамках тестирования не эксплуатируются уязвимости, которые могут нанести ущерб инфраструк-туре заказчика. Например, использование устаревшего ПО в 67% банков по-тенциально может позволить преодолеть периметр, однако эксплуатация этих уязвимостей может вызвать отказ в обслуживании (например, CVE-2012-2386, CVE-2013-6420, CVE-2015-5343).

На внешнем периметре сети наблюдаются и недостатки, связанные с сетевой безопасностью. Наибольшую опасность представляют интерфейсы удаленно-го доступа и управления, которые зачастую доступны для подключения любо-му внешнему пользователю. Среди наиболее распространенных — протоколы SSH и Telnet, которые встречаются на периметре сети в 58% банков, а также протоколы доступа к файловым серверам (в 42% банков).

Приведем и результаты исследования, проведенного нашими специалистами в 2017 году. Изучив с помощью Shodan сервисы, доступные на периметре ста наиболее крупных банков, и сопоставив их с собственной базой уязвимостей,

В 22% банковудалось преодолеть сетевой периметр в рамках внешнего тестирования на проникновение

Десятка самых распространенных уязвимостей на сетевом периметре (доля банков)

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Межсайтовое выполнение сценариев

Внедрение внешних сущностей XML

Загрузка произвольных файлов

Внедрение SQL-кода

Anti DNS Pinning

Интерфейсы удаленного доступа и управления доступны любому интернет-пользователю

Использование открытых протоколов передачи данных

Хранение чувствительных данных в открытом виде

Использование устаревшего ПО

Использование словарных паролей

Уязвимости веб-приложений

Недостатки управления сетевой безопасностью

Недостатки управления учетными записями и паролями

Недостатки конфигурации серверов

25%

25%

25%

33%

33%

50%

58%

58%

67%

58%

АТАКИ НА БАНКИ

12

эксперты установили, что около 5% сервисов потенциально уязвимы. Наличие потенциально опасного сервиса еще не означает, что уязвимости действитель-но можно эксплуатировать, тем не менее даже один уязвимый ресурс может позволить злоумышленнику провести успешную атаку.

75% банковуязвимы к атакам методами социальной инженерии

Как мы уже отметили, большинство банков имеет достаточно высокий уровень защиты сетевого периметра, но персонал обычно является самым уязвимым звеном в системе защиты любой организации.

В ходе оценки осведомленности в 75% банков сотрудники переходили по ссылке, указанной в фишинговом письме, в 25% банков сотрудники вводили свои учетные данные в ложную форму аутентификации, и еще в 25% банков хотя бы один сотрудник запускал на своем рабочем компьютере вредоносное вложение. В среднем в банках по фишинговой ссылке переходили около 8% пользователей, 2% запускали вложенный файл, но свои учетные данные вводи-ли менее 1% пользователей.

Хотя уровень осведомленности в вопросах ИБ среди банковских сотрудни-ков все же выше, чем в других отраслях, достаточно, чтобы всего один поль-зователь выполнил нежелательное действие, — и нарушитель получит доступ к корпоративной сети. Таким образом, три четверти банков уязвимы к атакам методами социальной инженерии, которые используются для преодоления периметра практически каждой преступной группировкой, в том числе груп-пировками Cobalt, Lazarus, Carbanak.

Регулярное проведение тренингов по безопасности с контрольной провер-кой уровня осведомленности приносит отличные результаты. В этом плане по-казателен пример одного банка. В ходе работ по оценке осведомленности в вопросах ИБ за 2016 год часть пользователей ввела свои учетные данные в фи-шинговую форму аутентификации: таким образом преступники могли бы по-лучить данные для доступа к ресурсам банка. Через год ситуация изменилась кардинально: учетные данные не ввел ни один сотрудник.

Уязвимости внутренней сети

В то время как банки сосредоточены на защите сетевого периметра, безопасность внутренней сети далека от совершенства, здесь встречаются все те же проблемы, что и во внутренних сетях других компаний. Полный контроль над инфраструк-турой был получен во всех исследуемых банках. При этом в 33% банков, даже не обладая максимальными привилегиями в системе, возможно получить доступ к узлам, с которых осуществляется управление банкоматами, доступ к системам межбанковских переводов, карточному процессингу, платежным шлюзам.

Какие недостатки безопасности позволяют злоумышленникам развивать атаку вглубь банковской инфраструктуры? На рисунке ниже представлены уязвимости, эксплуатация которых способствовала получению полного контроля над домен-ной инфраструктурой в ходе работ по внутреннему тестированию на проникно-вение. Указаны доли систем, в которых присутствовали уязвимости данного типа.

0% 250 500 750 1000 1250 1500 1750 2000 2250 2500

С 76-го по 100-е

С 51-го по 75-е

С 26-го по 50-е место

Топ-25

Безопасные сервисы

Уязвимые сервисы

1922 | 97

490 | 22

676 | 39

1125 | 53

В 100% банковполучен полный контроль над инфраструктурой

Доли уязвимых сервисов на сетевом периметре 100 крупнейших банков

АТАКИ НА БАНКИ

13

Наиболее распространенные уязвимости во внутренней сети (доля банков)

Компоненты внутренней сети, для которых используются словарные пароли (доля банков)

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Хранение паролей администраторов в групповых политиках

Уязвимости веб-приложений

Избыточные привилегии приложений

Возможность подключения к ЛВС стороннего оборудования без авторизации

Использование одинаковых учетных данных для доступа к разным ресурсам

Хранение чувствительных данных в открытом виде

Использование устаревшего ПО

Недостаточная защита служебных протоколов от атак

Недостаточная защита от восстановления учетных данных из памяти ОС

Использование словарных паролей

17%

33%

33%

42%

42%

50%

67%

100%

100%

100%

Уязвимости веб-приложений

Недостатки управления сетевой безопасностью

Недостатки управления учетными записями и паролями

Недостатки конфигурации серверов и рабочих станций

Типовые векторы атак базируются на двух основных недостатках — слабой парольной политике и недостаточной защите от восстановления паролей из памяти ОС.

Если на сетевом периметре словарные пароли встречаются почти в половине банков, то во внутренней сети от слабой парольной политики страдает каждая исследованная система, и в этом отношении банки не отличаются от любой другой компании. Приблизительно в половине систем слабые пароли уста-навливают пользователи, однако еще чаще мы сталкиваемся со стандартными учетными записями, которые оставляют администраторы при установке СУБД, веб-серверов, ОС или при создании служебных учетных записей. Приложения зачастую либо обладают избыточным привилегиями, либо содержат известные уязвимости, и в результате у злоумышленников появляется возможность полу-чить административные права на узле всего в один-два шага.

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Сетевое оборудование

Бизнес-системы

Файловые серверы

ОС

Веб-приложения

Домен, электронная почта

СУБД

8%

8%

8%

42%

50%

58%

75%

АТАКИ НА БАНКИ

14

В четверти банков было установлено использование пароля P@ssw0rd, также к распространенным паролям относятся admin, комбинации типа Qwerty123, пустые и стандартные пароли (например, sa или postgres).

Недостаточные меры безопасности, а нередко и полное их отсутствие наблю-даются в отношении защиты служебных протоколов. Защита от атак на про-токол NBNS отсутствовала в каждом исследованном банке, а защита от атак на протокол LLMNR — в 70% банков. Атакам ARP Poisoning оказались подвер-жены 80% банков. В то же время перехват учетных данных, передаваемых по сети, может вполне успешно применяться нарушителями в процессе сбора сведений о системе. Например, в ряде банков в рамках тестирования на про-никновение удалось перехватить несколько NetNTLMv2-хеш-сумм паролей пользователей домена в формате Challenge-Response. Затем по этим суммам методом перебора были подобраны пароли доменных учетных записей.

На этапе распространения и закрепления в сети действия злоумышленников достаточно схожи, потому что они эксплуатируют недостатки защищенности, характерные для любой корпоративной системы. Исходя из приведенных ре-зультатов, мы предполагаем, что любая преступная группировка смогла бы получить полный контроль над доменной инфраструктурой в каждом из ис-следованных банков. Поэтому, хотя банки достаточно хорошо защищены из-вне, злоумышленник с высокой долей вероятности сможет успешно атаковать банковские системы при наличии доступа ко внутренней сети. Такой доступ можно получить разными путями; к примеру, участник преступной группы мо-жет устроиться на работу в банк в качестве сотрудника, обладающего только физическим доступом к сетевым розеткам или с минимальным уровнем приви-легий в сети (уборщик, охранник).

Получить доступ к банковским приложениям удалось в 58% банков. Необходимо учитывать, что во всех остальных банках развитие атаки на кри-тически важные узлы не проводилось, учитывая заданные границы работ. Тем не менее привилегии администратора домена позволили бы злоумышленнику прочно закрепиться в системе и осуществлять атаки на целевые ресурсы.

Ниже представлены уязвимости, благодаря которым был получен доступ непо-средственно к банковскому ПО.

В 58% банковполучен доступ к банковским системам

Уязвимости, использовавшиеся для доступа к банковскому ПО

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Недостаточная защита привилегированной записи root

Использование устаревшего ПО

Использование одинаковых учетных данных для доступа к различным ресурсам

Хранение учетных данных в исходном коде приложения

Использование обратимого кодирования

Внедрение SQL-кода

Хранение чувствительных данных в открытом виде

Использование словарных паролей

Недостаточная защита от восстановления учетных данных из памяти ОС

8%

8%

8%

8%

8%

8%

17%

25%

50%

АТАКИ НА БАНКИ

15

В 25% банков были скомпрометированы узлы, с которых осуществляется управление банкоматами, а значит, из этих банков смогла бы вывести деньги группировка Cobalt.

Перевести средства на собственные счета через системы межбанковских пе-реводов, на которые нацелены Lazarus и MoneyTaker, было бы возможно в 17% банков.

В 17% банков недостаточно защищены системы карточного процессинга, по-зволяющие манипулировать балансом на карточных счетах злоумышленников, как мы это видели в начале 2017 года в атаках на банки Восточной Европы.

Группировка Carbanak, отличающаяся своим умением успешно проводить ата-ки на любые банковские приложения, смогла бы похитить средства из всех 58% банков.

В среднем злоумышленнику, проникшему во внутреннюю сеть банка, требует-ся всего четыре шага для получения доступа к банковским системам.

4 шага требуется злоумышленнику для получения доступа к банковскому ПО

АТАКИ НА БАНКИ

16

ЗАКЛЮЧЕНИЕНа сегодняшний день банки выстроили достаточно эффективные барьеры для за-щиты от внешних атак, однако основная проблема состоит в том, что они не гото-вы противостоять нарушителю во внутренней сети.

Зная это, злоумышленники легко обходят системы защиты сетевого периметра с помощью простого и эффективного метода — фишинга, который доставляет вре-доносное ПО в корпоративную сеть. Преступники внимательно следят за публи-кацией новых уязвимостей и быстро модифицируют свои инструменты; например, в 2017 году хакеры из группировки Cobalt использовали уязвимости в Microsoft Office CVE-2017-0199 и CVE-2017-11882 в расчете на то, что банки не успели устано-вить соответствующие обновления безопасности. Внутри сети злоумышленники свободно перемещаются незамеченными с помощью известных уязвимостей и ле-гитимного ПО, которое не вызывает подозрений у администраторов. Пользуясь недостатками защиты корпоративной сети, злоумышленники за короткое время получают полный контроль над всей инфраструктурой банка.

Нужно понимать, что злоумышленник не сможет достичь своей цели и похитить деньги, если атака будет вовремя выявлена и остановлена, а это возможно на лю-бом ее этапе, если принимаются соответствующие меры защиты. Необходимо проверять почтовые вложения в изолированном окружении, не полагаясь исклю-чительно на антивирусные решения, установленные на рабочих станциях пользо-вателей. Крайне важно своевременно получать уведомления систем защиты и не-замедлительно реагировать на них. Для этого необходим постоянный мониторинг событий безопасности силами внутреннего или внешнего подразделения SOC, а также наличие SIEM-решений, которые могу существенно облегчить и повы-сить эффективность обработки событий информационной безопасности. Чтобы эффективно противостоять активно развивающейся киберпреступности, важно не скрывать произошедшие инциденты, а участвовать в обмене информацией об атаках внутри отрасли, чтобы вовремя узнавать об индикаторах компрометации и сообщать о них другим.

Banks_Attacks_A4.RUS.0003.04.APR.04.2018

О компании

Positive Technologies — один из лидеров европейского рынка систем анализа защищенности и соответствия стандар-там, а также защиты веб-приложений. Организации во многих странах мира используют решения Positive Technologies для оценки уровня безопасности своих сетей и приложений, для выполнения требований регулирующих организа-ций и блокирования атак в режиме реального времени. Благодаря многолетним исследованиям специалисты Positive Technologies заслужили репутацию экспертов международного уровня в вопросах защиты SCADA- и ERP-систем, круп-нейших банков и телеком-операторов.

Деятельность компании лицензирована Минобороны России, ФСБ России и ФСТЭК России, продукция сертифициро-вана Минобороны России и ФСТЭК России.

pt@ptsecurity.com ptsecurity.com facebook.com/PositiveTechnologies facebook.com/PHDays

АТАКИ НА БАНКИ